speer

Alles klar, vielen Dank für die Auskunft und Hilfe.

Hallo zusammen,
ich habe ein Problem mit servergespeicherten Profilen. Es sind 3 Standorte die Ihre Daten über DFS replizieren. Bisher arbeiteten die Benutzer an einem Standort ausschließlich an diesem. Seit Anfang Juni übernehmen aber bestimmte Abteilungen auch Aufgaben von den anderen Standorten. Nun dachte ich mir, es wäre geschickt die Benutzerprofile auf dem DFS Stamm zu legen und zu replizieren. Das dumme daran ist nun, meldet sich Benutzer A an Standort A und B an und anschließend an B ab während die Sitzung noch auf A aktiv ist, dann ist das Profil kaputt.

Nun die Frage, habe ich einen Konfigurationsfehler im DFS drin oder ist das einfach so?

Hallo zusammen,
ich habe gerade ein Verständnisproblem :)

In einer GPO ist bei der Sicherheitsfilterung eine Gruppe die nur Computerobjekte enthält. Die Richtlinie enthält aber nur Einstellungen für den Benutzer.

Wird die Richtlinie dann ausgeführt oder verweigert?

Ich kann es derzeit nicht testen. Aber vielleicht weiß es jemand hier aus dem stehgreif :)

Guten Morgen,
ich hätte eine Frage zum Aufbau von Gruppenrichtlinien beim Terminalserver. Ausgangspunkt ist eine OU in der alle Computerobjekte der Terminalserver enthalten sind. Über dieser OU liegt lediglich die Default Domain Policy.  Im Detail sieht meine GPO Organisationsidee in der Abarbeitung folgendermaßen aus:

1. Loopback  (Computer)

2. einige Zertifikate und Skripte (Computer)

3. Internet Explorer (Benutzer)

4. Basiskonfiguration Windows 7 und Server 2008r2 (Benutzer)

5. spezielle Terminalservereinstellungen (Benutzer)

Die Ausplittung in mehrere GPOs kommt daher, weil ich einige GPOs mehrfach verwende. Soweit ich weiß erfolgt die Abarbeitung von oben nach unten. Würde das so funktionieren wie gedacht?

Guten Morgen,

also die Anfrage vom Client zum Server läuft über eine route. Die Antwort vom Webserver zum Client soll eine NAT IP sein.

Was gehen würde wäre eine static nat über: static (outside,inside) NAT-IP REAL-IP netmask 255.255.255.255

Hinter der Real IP hängen aber mehrere Clients. Daher scheidet statisches NAT aus.

Hallo zusammen,

ich habe ein arges Verständnisproblem.

Wenn ich von meinem inside nach outside eine Verbindung zu seinem Webserver aufbaue. Soll kein NAT durchgeführt werden.

Die Antwort vom Webserver soll allerdings ein nat ip auf die interne IP erhalten. Hat mir jemand einen tip wie das zu bewerkstelligen ist? Dachte das wäre über PAT machbar aber irgendwie haut es nicht hin :(

Hallo,

ein normaler Druckertreiber kann eben nicht über Point and Print ausgerollt werden. Das sieht man beim Druckerserver im Treiber. Bei einem normalen Druckertreiberm, der kann auch WHQL zertifiziert sein, fragt das System nach der Berechtigung zur Installation. Bei einem Point and Print Treiber erscheint diese Meldung, sofern das in der GPO deaktivert ist, nicht.

Bei den meisten Druckerherstellen beispielseweise HP ist im normalen Treiber ein Point and Print Treiber inklusive.

Hallo,

mir geht es ums Prinziep.

Ich möchte sowohl eingehend als auch ausgehender Traffic auf eine NAT IP legen.

Ich dachte eigentlich so müsste es klappen. Doch irgendwo ist noch ein Denkfehler drin: 192.168.1.0/24 = inside und 192.168.3.0/24 = outside

access-list out-nat Extended Permit ip 192.168.1.0 255.255.255.0 host 192.168.1.2  
access-list in-nat Extended Permit ip any host 192.168.3.20 

static (inside,outside) 192.168.3.20 192.168.1.1
static (outside,inside) 192.168.1.2 192.168.3.20

access-Group out-nat in Interface inside

access-Group in-nat in in Interface outside
 

Bei sh nat sehe ich nur für in-nat hits.

Hat mir jemand einen Tip warum das nicht geht?

Hallo zusammen,

leider gibt es immer noch Druckerhersteller die keine Point and Print Pakete zum Download anbieten. Da nur diese über GPO installiert werden können, fragte ich mich, was eigentlich hinter diesem Paket steckt.

Im Internet konnte ich leider nicht viel davon finden. Im TechNet auch nur bzgl. der GPO etc.

Kann man solch ein Paket selbst erstellen?

Guten Morgen,

ich habe mittels Wireshark geloggt. Folgende Ausgangssituation:

1. Webserver hängt an int eth 0/0 (Inside) mit der IP 192.168.10.1/24 und Gateway 192.168.10.254

2. Mein Client hängt an int eth 0/6 (outside) mit der IP 192.168.20.159 und Gateway 192.168.20.159

3. Die S-NAT Adresse im Outside ist 192.168.20.1

4. Ich logge den Traffic von eth 0/0 auf 0/6

Rufe ich von meinem Client die NAT IP auf, ist auf dem int eth 0/6 alles ok, source und Destination stimmen

Auf dem inside sehe ich aber meine source als 192.168.20.159 und die IP des Webservers 192.168.10.1. Genau dies ist der Fehler. Mein Webserver nimmt nur Anfragen von der NAT Adresse an!

Wieso wandelt die ASA die NAT IP in meine reale IP?

Fragen über Fragen :)
Speer

Hallo zusammen,

ich hänge fest und hänge gerade in der Luft. Ich möchte vom outside Interface einen Webserver im inside Interface erreichen.

ASA 5505 8.2 Konfiguration soweit und NAT Adresse ist 192.168.20.1:

VLAN 1

nameif inside

192.168.10.0 255.255.255.0
 

VLAN 2

nameif outside

192.168.20.0 255.255.255.0
 

access-list out_2_in Extended Permit object-group WEB_Ports any host 192.168.20.1

global (outside) 1 192.168.20.1

nat (inside) 1 access-list WEB_Ports

static (inside,outside) 192.168.20.1 192.168.10.1 netmask 255.255.255.255

access-Group out_2_in in Interface outside

Ich kann über meinen Laptop mit der IP 192.168.20.100 (Outside) den Webserver über 192.168.20.1 erreichen.

Der Webserver selbst kann mich allerdings ebenfalls auf 192.168.20.100 erreichen. Mein Problem ist wieso?

Eigentlich dürfte er mich gar nicht erreichen und wieso zieht die global Adresse nicht?

Ziemlich viele Fragen :( Hoffe jemand hat einen guten tip oder hilft mir beim Verständnisproblem :)

Speer

Guten Morgen,

bin gerade überfragt ob es ein Windows 8 only Feature ist. Falls ja, gibt es für Windows 7 einen Hotfix oder ähnliches um die Funktionalität nachzubilden?

Hallo zusammen,

ich hänge an einem Powershell Problem. Aus einigen Variablen baue ich mir den Pfad zu einer Datei auf.

Im nächsten Schritt möchte ich das zuletzt geänderte Datum, ohne Uhrzeit auslesen.

$Datum_vergleich = $temp.LastWriteTime.ToShortDateString()

Nun erhalte ich die Fehlermeldung: Sie können keine Methode für einen Ausdruck mit dem Wert NULL aufrufen.

Wenn ich ToShortdateString() entferne, erhalte ich das Änderungsdatum. Allerdings mit der Uhrzeit. Ich stehe gerade ziemlich auf dem Schlauch :(

Danke für die Antworten.

Soweit mir bekannt ist, ist NAT offiziel von Microsoft nicht unterstützt. Daher werde ich den Standort mit den wenigsten Server IP technisch umziehen. Da der trust im Januar 2015 stehen soll, kann ich noch eine Testumgebung hochziehen und ausgiebig testen und dokumentieren.

Genau das ist mein Problem. Rein vom Netzwerk betrachtet, würde ich sagen das geht nicht. Bin jetzt aber nicht so der crack darin. wäre auch mein erster Trust den ich erstellen würde :)

Hallo zusammen,
unsere Firma wird sich Ende vom Jahr vergrößeren durch eine Fusion. Da ich deren Administrator kenne, weiß ich, dass die andere Firma identische IP Adressbereiche verwendet. Damit eine Vertrauensstellung aufgebaut werden muss, muss das Netzwerk und DNS (Weiterleitung) funktionieren. Doch wie erreiche ich Routing technisch, wenn beide Firmen den Bereich 192.168.1.0/24 für sich als Servernetzwerk verwenden? Der Client fragt den Router anhand der IP an. Der Router kann nicht entscheinden ob der Server in Firma A oder B steht.

Ich hoffe ich konnte mein Problem logisch darstellen :)

Speer

Hallo,

die Frage ist nur, wo in der Registry. unter Software\Microsoft\Office\Outlook oder auch common ist nicht enthalten.

Speer

Guten Morgen zusammen,

ich plane derzeit den Umzug von Windows 2003 terminalserver auf 2012 Terminalserver.

Hier beschäftigt mich die Frage, wie ich automatisiert die Outlook Signaturen dem Benutzer wieder anhängen kann.

Die Signaturen selbst liegen im Benutzerverzeichnis. Leider finde ich nicht wie und wo Outlook die Verknüpfung zwischen Signatur als Datei und dem Benuterprofil herstellt.

Hat hier jemand einen Tip?

Viele Grüße

Speer

Hallo zusammen,

zu obigem Beitrag taucht nun ein Problem auf.

Ich habe an 0/2 - 0/7 verschiedene Geräte. Ich muss von extern nach intern zugreifen und dabei natten.

Inside hat den Adressbereich: 192.168.100.0/24 und outside 192.168.200.0/24. Das Gerät welches ich inside erreichen will, hat die IP: 192.168.100.1

Hier meine Eintragung:

object-group Service Ports_2_inside

 service-object tcp eq https
 service-object tcp eq www

 

access-list Ports_2_inside extended permit object-group Ports_2_inside interface outside host 192.168.100.1

arp timeout 14400
nat (inside) 1 access-list Ports_2_inside

static (outside,inside) 192.168.3.20 192.168.100.1 netmask 255.255.255.255
access-group Ports_2_inside in interface outside

Die Frage ist nun, wieso nattet die ASA nicht? Die ASA registriert nicht die 192.168.3.20 als genattete IP. Sehe gerade das Problem nicht. 

Hallo zusammen,

sehe gerade den Wald vor lauter Bäumen nicht. Ich verwende eine ASA 5505 (8.2). Die Ports 0/0 und 0/1 sind für das inside Interface und 0/2 - 0/7 das outside Interface. Meine beiden Geräte stecken in 0/4 und 0/5, also im outside. Ich kann aber von 0/4 nicht über http oder ping auf 0/5 zugreifen. Brauche ich dafür eine eigene access-list und access-Group? Ich dachte immer, im outside Interface wäre dies nicht notwendig?

Muss dazu sagen, dass ich mich mit Cisco nicht so gut auskennen :(

Speer

Hallo zusammen,

ich betreibe eine RD Farm mit 3 Servern. Die Lastverteilung erfolgt über NLB. Soweit funktioniert alles prächtig. Nun kommt eine Schwierigkeit hinzu, die ich nicht weiß wie ich diese lösen kann. Auf zwei Servern soll ein zusätzliches Programm installiert werden. Bei der Erstellung einer Remote App oder als WebApp gebe ich immer den Farm Namen an. Kann man ähnlich Citrix eine Anwendung an definierte Server zuweisen? NLB weiß schließlich nicht auf welchem Server welche Anwendung läuft.

Speer

Guten Morgen zusammen,

ich hänge seit etwa 1 Stunde an einem einfachen Powershell Skript. Ich möchte lediglich die Dateiberechtigungen ausgeben ohne die "Vordefinierten" Konten.

Das Skript sieht bisher so aus:

$verzeichnis = get-childitem "c:\"
foreach ($i in $verzeichnis)
{
if ($i.attributes -eq "directory")
    {
    Get-Acl $i.name | foreach { if ($_.access -ne "VORDEFINIERT\Administratoren") { echo $i.name ":   " $_.access}}
    }
}



Es ist noch früh, vielleicht hilft ein Kaffee :D

Hi,

gratuliere zum MCSE :)

Wie war die Prüfung 70-413? Stimmt es das diese sich hauptsächlich an der 70-412 orientiert?

Hallo,

soweit ich weiß werden nur dynamisch erzeugte Einträge bereinigt. Wieso selbst ein DC Eintrag bereinigt wurde, ist mir schleierhaft :(

P.S. in letzter Zeit mit dnscmd rumgespielt?

Hallo zusammen,

danke für die Antworten.

Gibt es irgendwo Äußerungen über die Sicherheit eines RDP Gateways?Wir haben beispielsweise zwischen zwei kleinen Standorten <5 Mitarbeiter einen SSL-VPN Tunnel. Hier gab es nichts zu beanstanden. Das verwundert mich natürlich... nun gut, letzten endes kann es nur der Sicherheitsbeauftragte beantworten.